Piratage Sony Pictures : les certitudes et l’impuissance du FBI

Faut-il accuser publiquement la Corée du Nord de cyberterrorisme au risque de raviver des tensions géopolitiques ? Quelle position adopter vis-à-vis des médias ? Quelles preuves avancer sans en révéler trop ? Voilà quelques-unes des nombreuses questions qui turlupinent les autorités américaines dans le dossier Sony Pictures.

Après trois semaines d’enquête sur l’attaque informatique qui a frappé le studio de production et de diffusion cinématographique filiale du groupe Sony, les forces fédérales de cybersécurité aux Etats-Unis ont des certitudes. Notamment sur le mode opératoire et les motivations du collectif Guardian of Peace (GOP), qui revendique les faits.

Les officiels qui se sont confiés au New York Times assurent que les outils exploités dans le cadre de cet assaut n’ont « rien d’extraordinaire » : ils sont largement accessibles sur le marché noir. Mais leur combinaison a permis d’atteindre un niveau de sophistication « sans précédent »… et surtout « bien au-delà des capacités supposées de la Corée du Nord ».

La piste nord-coréenne s’est effectivement confirmée au gré des recherches. Si les dernières menaces émises par GOP ne laissaient plus guère de doute, c’est aujourd’hui l’éventuelle implication de Pyongyang qui fait débat. Dans le cadre d’un programme d’espionnage lancé il y a 4 ans avec une équipe d’élite, la NSA serait parvenue à obtenir des « preuves tangibles » de la responsabilité « plus ou moins directe » de l’administration Kim Jong-un.

Les sources « proches du dossier » qui ont témoigné auprès d’ABC News confirment cette information. Elles excluent aussi toute collaboration d’un employé interne à Sony. Cette hypothèse était avancée depuis la découverte, dans le code du malware sur lequel se fonde l’attaque, de plusieurs identifiants de serveurs et de données d’authentification – de niveau administrateur – qui ont aidé à la propagation de l’infection sur le réseau de Sony Pictures.

Lancée depuis la Chine, l’attaque aurait été routée à travers des machines situées en Bolivie, en Italie, en Pologne, à Chypre, à Singapour et en Thaïlande. Le relais basé en Bolivie avait déjà été utilisé en 2012 pour une campagne contre des organisations stratégiques en Corée du Sud. Ce qui laisse supposer que le même groupe de pirates est à l’origine des deux méfaits.

Le FBI a aussi remarqué une forte ressemblance du malware avec celui exploité en 2013 contre des banques et des groupes audiovisuels (toujours en Corée du Sud). Des actions attribuées – non officiellement – au collectif Dark Seoul. Quant au mode opératoire, il rappelle celui suivi par les auteurs de l’attaque qui a visé, en 2012, la compagnie pétrolière Saudi Aramco, basée en Arabie Saoudite. A l’époque, les données de 30 000 ordinateurs avaient été effacées et remplacées par l’image d’un drapeau américain en feu.

Dans l’état actuel, les autorités américaines sont confrontées à un dilemme : faut-il attribuer publiquement à la Corée du Nord la responsabilité, totale ou partielle, de ce piratage ? Un choix d’autant plus délicat qu’il est ouvertement décrié par plusieurs pays. Illustration avec Tokyo, qui craint une dégradation de ses relations avec Pyongyang, à l’heure où plusieurs de ses ressortissants, kidnappés il y a des années, doivent faire leur retour en territoire japonais.

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?

Crédit photo : wk1003mike – Shutterstock.com